Depuis 2016, l’Union européenne protège les “personnes physiques à l’égard du traitement des données personnelles” via le Règlement Général sur la Protection des Données (RGPD) relate la CNIL (Commission Nationale de l’Informatique et des Libertés). Un texte qui vise à sécuriser toute donnée permettant d’identifier une personne directement (nom, prénom) ou indirectement (donnée biométrique, génétique, physiologique, psychique, etc.), pour que les professionnels puissent développer leurs activités numériques en préservant la confiance des citoyens.
Les spécificités des données de santé
Parmi les données à caractère spécifique, les informations liées à la santé physique et mentale du patient sont considérées comme les plus sensibles : “Les données à caractère personnel concernant la santé devraient comprendre l'ensemble des données se rapportant à l'état de santé d'une personne concernée qui révèlent des informations sur l'état de santé physique ou mentale passé, présent ou futur de la personne concernée. Cela comprend des informations sur la personne physique collectées lors de l'inscription de cette personne physique en vue de bénéficier de services de soins de santé ou lors de la prestation de ces services au sens de la directive 2011/24/UE du Parlement européen et du Conseil au bénéfice de cette personne physique; un numéro, un symbole ou un élément spécifique attribué à une personne physique pour l'identifier de manière unique à des fins de santé; des informations obtenues lors du test ou de l'examen d'une partie du corps ou d'une substance corporelle, y compris à partir de données génétiques et d'échantillons biologiques; et toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l'état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu'elle provienne par exemple d'un médecin ou d'un autre professionnel de la santé, d'un hôpital, d'un dispositif médical ou d'un test de diagnostic in vitro.”
Le texte précise par ailleurs que les données de santé collectées à des fins d’intérêt public : “ …ne devraient pas aboutir à ce que des données à caractère personnel soient traitées à d'autres fins par des tiers, tels que les employeurs ou les compagnies d'assurance et les banques” et sensibilise les acteurs du soin au traitement comme au stockage des données auxquelles ils ont accès, afin de préserver les patients de toute utilisation abusive de leurs informations personnelles.
De nombreux outils et recommandations existent pour lutter contre l’usage délétère des données tout au long du parcours patient et assurer la conformité des professionnels comme des structures de santé en matière de gestion de ces informations, qui doivent exclusivement s'inscrire dans un circuit fermé.
Sécuriser les données de santé pour optimiser le parcours de soins
“Dans le rapport de la CNIL de 2022, sur environ 1 million de professionnels de santé, qu’il s’agisse des établissements de santé publics ou de cliniques privées, des médecins libéraux, paramédicaux, etc. il y a eu 435 demandes de certificat d’homologation RGPD. Donc, il reste pratiquement 1 million de personnes qui n’ont pas effectué ces démarches.” explique Pierre Establet, Fondateur et Directeur stratégique de Volutes Management. Il revient pourtant à chaque acteur de définir un processus clair de conformité au RGPD.
À titre individuel, chaque professionnel de santé doit recourir à des mesures de prévention en matière de sécurité des données :
utiliser un logiciel métier agréé HDS (Hébergement des données de santé) et ISO 27001 (Système de Management de la Sécurité de l’Information),
recourir à Mon espace santé pour partager et stocker les données de santé des patients,
veiller à sécuriser l’accès à son téléphone et à son ordinateur professionnels par une application ou un système de double authentification,
opter pour une solution de télésanté sécurisée (HDS et ISO 27001) pour tout acte médical à distance et éviter tout recours aux solutions destinées au grand public comme WhatsApp, Gmail, Messenger, etc,
conserver en propre ses accès aux différentes plateformes et ne pas les diffuser à un tiers, même en cas de remplacement,
sécuriser l’accès aux éventuels documents papiers présents dans le cabinet, les bureaux administratifs et les salles d’attente.
Au sein d’une organisation de santé ou d’un établissement :
appliquer les mêmes préconisations qu’au titre de l’exercice individuel,
inscrire le respect du RGPD dans les contrats de travail des salariés ou dans les pactes d’associés le cas échéant,
former les utilisateurs des systèmes numériques aux risques liés à leur usage,
organiser régulièrement des réunions de sensibilisation sur les évolutions de la sécurité des données,
désigner un(e) Délégué(e) à la Protection des Données (DPO) pour la mise en œuvre et le suivi des procédures RGPD.
De nombreuses mesures peuvent être mises en place pour répondre durablement aux enjeux de sécurisation des données, en s’adaptant au fonctionnement de chaque structure de soins.
Vous avez une question relative à votre démarche qualité ou souhaitez être accompagné(e) dans votre projet de conformité RGPD ?
Contactez Volutes Management :
Comments